Злоумышленники используют поддельный интерфейс reCAPTCHA для обхода защиты браузеров от скачивания файлов
и распространения банковского троянца. Правда, для заражения пользователь
должен сам запустить скачанный исполняемый файл.
Хитрый прием
Киберзлоумышленники
распространяют троянец Gozi/Ursnif,
используя весьма ловкий прием для обхода защиты браузеров от скачивания
посторонних файлов.
Эксперт MalwareHunterTeam обнаружил
подозрительный веб-адрес, на котором был выложен ролик с Youtube о злоупотреблениях в женской тюрьме в Нью-Джерси
в США. При попытке посмотреть ролик в систему скачивается некий файл console-play.exe, а пользователю выводится интерфейс проверки ReCAPTCHA, где ему
предлагается нажать последовательно клавиши B, S, Tab, A, F и Enter.
Поскольку скачиваемый
файл — исполняемый, то браузер (в частности, Google Chrome) выводит предупреждение о его возможной
вредоносности и запрашивает пользователя, что делать — сохранить или удалить.
Очевидно, что, нажав комбинацию Tab и Enter в поддельной reCAPTCHA, пользователь переводит курсор на позицию «сохранить»
и подтверждает команду. Нажатие остальных клавиш — это просто маскировка.
Видеофайл в итоге
воспроизводится, так что пользователь считает, что проверка reCAPTCHA пройдена успешно.
Запустить вручную
Как указывается в
материале Bleeping Computer,
если пользователь все-таки запускает скачанный исполняемый файл, тот создает
каталог %AppData%Bouncyfor .NETHelper и целый ряд файлов в
нем. Большая часть из них — болванки, не играющие никакой осмысленной роли.
Единственным значимым файлом оказывается еще один файл .exe — BouncyDotNet.exe, который запускается автоматически.
Эта программа считывает
данные из системного реестра Windows и запускает команды PowerShell, с которые производят компиляцию приложения .NET, используя встроенный
компилятор CSC.exe. Это приложение запускает
DLL самого
троянца Ursnif/Gozi.
Троянец специализируется
на краже реквизитов доступа к банковским и другим ресурсам, а кроме того,
способен скачивать другие вредоносы на зараженную систему и выполнять команды,
поступающие от операторов.
«Довольно странно, что
злоумышленники пошли на такие ухищрения, чтобы обойти защиту браузера, но не
автоматизировали запуск исполняемого файла, — по идее его должна блокировать
собственная система защиты UAC Windows, не говоря уже про Windows Defender, — отмечает Анастасия
Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — То есть, нужно
очень активное содействие со стороны пользователя, чтобы произошло заражение.
Вероятность такого содействия по нынешним временам уже невелика».
Эксперты компании Palo Alto Networks в недавнем
исследовании обнаружили, что злоумышленники вполне активно используют
всамделишные ReCAPTCHA и другие подобные средства защиты от роботов, чтобы обеспечивать
скрытность фишинговых ресурсов. Поисковые роботы, специализирующиеся на поиске
вредоносного контента, часто не могут проникнуть на такие страницы, хотя
эксперты PaloAlto
описывают методики, позволяющие обходить такую защиту вредоносных страниц.
